[吐槽] 垃圾 訊息發夠了沒? ｜你說我的 Apple Pay 怎麼了？

文前碎碎念

繼之前久違的再次收到莫名的簡訊後，這類的詐騙訊息又從我的生活中銷聲匿跡了一陣子。

原本以為這個「詐騙吐槽」系列，終於可以安心退下之時，它卻又以新的樣貌回到眼前。

好吧，既然題材自己送上門，那我也不客氣的跟之前一樣，再來一次「開箱」吧！

型態轉變

不同於之前的電話簡訊與 imessage 形式，這次的訊息是直接以 Email 來傳播。

而除了連續兩天來煩之外，信件也劈頭就用「您設備上的 Apple Pay 已暫停」這種會令人瞬間緊張的字句為題。

點進信中，第一眼看到的就是一個大大的 Apple Pay 圖示，底下接著一行跟標題一樣的紅色警告，以及幾行告知性的敘述，一再的提醒著你現在所面臨的「窘境」。

最後再放上一個讓心急萬分的你，能立刻做些什麼大按鈕，整體版面看來簡單，卻又設想十分周到，應該能讓不少人信以為真的上鉤吧？

不過先別急，這時如果我們選擇無視那個按鈕，繼續往下看的話⋯

蛤？這個很明顯是電子報或是廣告郵件才會出現 Footer 是怎麼回事？

這下事情就變的得有趣起來了。

疑點與馬腳

接著我們來仔細看這個區塊的內容，可以發現寄信的來源根本不是 Apple 公司，而是⋯Optiquelozza？

查詢後也無法確定這個名稱的確切來源，似乎是某家眼鏡品牌？

而接下來的這個 Constant Contact 就十分明確了，就是是一個市場推廣的服務，而且還有提供 14 天免費試用。

這裡應該是被有心人士使用來作為亂槍打鳥的散射武器了。

通知與分類

不過說實在的，你要偽裝成這麼重要的 Apple 系統通知，你好歹也藏一下吧？

這麼大隻馬腳露在那裡，不發現也難啊。

再說，如果今天出問題的是像 Apple Pay 這種重大系統功能，第一個發出通知的，絕對是直接透過系統本身，而不會是電子郵件。

像是前一陣子國泰世華的好事多聯名卡自動失效時，將它綁為 Apple Pay 選項的人，就會收到像這樣由手機發出的變更通知，直接告知卡片移除。

另外，除了信中這個完全是在歧視人不長眼的漏洞外，我們還可以看到在 Gmail 的信件分類中，這封信是被歸類為「促銷內容」而非像正常重要通知一般分在「最新快訊」中。

這似乎也提示了這封信，確實帶有著常見廣告信的特徵。

看來連 Google 的 AI 也都洞悉一切的，看穿了這次拙劣的偽裝了呢。

詐騙開箱

雖然這次的詐騙訊息，與之前相比，已經是假到連藏都不藏的境界，但為了一貫的實驗精神，我們還是實際「鑑賞」一下，這次的做工究竟如何吧。

警告，看到這裡的朋友，千萬不要輕易嘗試！

我們首先按下信件下方的「重啟 Apple Pay」按鈕，畫面就直接的被導到一個看起來很有「果味」的登入頁面。

撇除了網址列明顯的奇怪網域，在整體版面外觀上，用的是跟正牌 Apple 相似的灰白配色以及圓角風格。

配上頂部的那顆蘋果，及左右兩側的選單與購物袋，第一眼還真的可能被唬到一下。

而繼續往下可以發現，這裡甚至連輸入框下的帳號說明，與網頁底部的客服訊息也都一應俱全。

不小心大意的人，應該就會緊張的直接準備登入了。

_{不過⋯到底為什麼進一步協助，要有兩個問號呢？}

而今天來假設一下，我們就是那個大意的人，不小心的輸入帳密，按下了登入。

當然，這裡帳密都是隨機亂數

咦？等等？不是誒！？這麼直接的就將頁面帶到信用卡資訊的輸入畫面了啊，你好歹也裝一下吧？

好吧，既然都這麼表達渴望了，那我也只好釋出最大的「善意」回應囉，這裡再次以亂數資料填入後送出。

看來這次有認真了一些，還真的有做出 OTP 簡訊認證。

不過這樣看下來，這個網站的意圖與流程就十分明確了。

意圖與風險

從以上測試中，我們可以看得出來以下幾點：

• 這次詐騙目標十分具針對性，主要是持有 Apple 設備，並有使用內建支付的人。
• 因為是生活中重要的支付工具，因此多數人會對「突然被終止」這類通知產生危機感。
• 這個網頁，在騙取信用卡資料的同時，有可能會同時藉假登入動作騙取 Apple ID（雖然已來不及追蹤前部分是否送出）。

而其中除了常見的信用卡資訊外， Apple ID 被盜這點，可能又更具有無形的殺傷力。

尤其以蘋果設備為主力的朋友們，應該都有更深的體認。

今天如果單純信用卡遭盜刷，即時向銀行提出申訴並停卡，便有機會降低影響。

但萬一不幸是 Apple ID 遭盜取，不僅官方不一定能解救之外，還有可能導致手邊所有與帳號關連的設備都遭鎖定，以及存於雲端的資料外流等風險。

在 Apple 的世界，帳號就是你的一切

而這裡也再次提醒，這部份流程就跟網購一樣，只要給予這個頁面中的這些資訊，外加銀行 OTP 驗證後，基本上就代表你已經授權對方進行刷卡請款的動作了。

因此只要未來有任何未知來源第三方向你索取這些資料，都請特別迴避。

細節仍敗

這次的詐騙網頁，雖說看起來較為精緻，但實際玩動過後，依就可以發現端倪。

像是標題列上的左右側看似選單的按鈕，按下去是都不會有反應的。

真正的網頁點下去則是會跳出主題選單，或是你的購物車頁面去。

而帳密欄位下的「忘記」及「建立」兩個連結，實際上也是無意義，點下去都會被導回這個頁面。

不過有趣的是，附在網頁底下的這個支電話，經反查後居然還真的標示為 Apple 客服中心，倒是在這個奇怪的細節用了點心。

雖然在測試完撰文時，有突然好奇這個網站到底有沒有偵測所在地而改變內容的能力⋯

但可惜的是再回到該網址後，卻已是失效網頁，而且兩封信的連結皆同。

看起來應該是時效性的，也就只好放棄進一步實測了。

結語

雖然這次實測的這個案例，看起來十分明顯且容易拆穿，但現在市面上更不乏其他更為精細的手段。

尤其是這個 AI 工具發達的時代，快速製作以假亂真的內容，或甚至網頁也都已不是難事。

唯獨加強自己的個資保護意識，以及隨時留心的態度，才能盡可能降低風險。

再加上我自己也仍未知為何這組信箱會被搜集，因此也還需格外注意。

最後在這裡也附上現在 Apple ID 管理頁面的實際截圖，希望大家不要受騙上當囉！

《全文。終了》